Certyfikat KSeF – jak uzyskać? Nowe zasady uwierzytelniania

Od 1 lutego 2026 r. KSeF 2.0 działa produkcyjnie. Certyfikaty KSeF są dostępne i funkcjonują równolegle z tokenami (ważnymi do 31 grudnia 2026 r.). Logowanie do KSeF odbywa się od 14 lutego 2026 r. przez Węzeł Krajowy (Login.gov.pl), który obsługuje Profil Zaufany, mObywatel, e-dowód i bankowość elektroniczną.

To rozwiązanie ma zwiększyć bezpieczeństwo, uprościć proces uwierzytelnienia oraz usprawnić wystawianie faktur. Poniżej wyjaśniamy, czym jest certyfikat KSeF, jak go uzyskać i kto może z niego korzystać.

Do czego służy certyfikat KSeF? Nowe metody uwierzytelniania KSeF

Od 1 lutego 2026 r. obowiązują nowe zasady uwierzytelniania w systemie KSeF. Obecnie przedsiębiorcy mają do dyspozycji dwie metody autoryzacji: dotychczasowe tokeny oraz nowoczesne certyfikaty KSeF. Należy jednak pamiętać, że okres przejściowy dla tokenów zakończy się 31 grudnia 2026 r. – od 1 stycznia 2027 r. certyfikat KSeF stanie się jedyną formą bezpiecznego uwierzytelniania w systemie.

Wraz z upowszechnieniem certyfikatów KSeF ewolucji uległ sposób komunikacji technicznej między systemami księgowymi a ministerialną bramką. Oprogramowanie Comarch zapewnia pełną, natywną zgodność z interfejsem API KSeF 2.0. Dzięki temu procesy logowania oraz podpisywania faktur ustrukturyzowanych odbywają się automatycznie, przy zachowaniu najwyższych standardów bezpieczeństwa wymaganych przez Ministerstwo Finansów.

Rodzaje certyfikatów KSeF

Istnieją dwa typy certyfikatów KSeF, różniące się wykorzystaniem: certyfikat typu 1 (uwierzytelnienie) i typu 2 (offline). Oba rodzaje będą generowane osobno. Nie będzie można wykorzystać jednego certyfikatu KSeF dla obu zastosowań. Dla ułatwienia, certyfikaty obu typów będą miały w atrybucie CN (commonName) w systemie dopisek „uwierzytelnianie” lub „offline”.

Dzięki takiemu rozwiązaniu przedsiębiorcy zachowają ciągłość pracy nawet w razie problemów technicznych po stronie systemu rządowego.

Rodzaj certyfikatu KSeF	Do czego służy	Zastosowanie
Certyfikat uwierzytelniający	Umożliwia zalogowanie się do systemu KSeF i potwierdzenie tożsamości użytkownika.	Na co dzień, podczas standardowej pracy z systemem.
Certyfikat do wystawiania faktur offline	Pozwala wystawić fakturę, gdy system KSeF jest czasowo niedostępny (np. awaria lub przerwa techniczna).	W sytuacjach wyjątkowych, kiedy faktury są później automatycznie przesyłane do KSeF.

W praktyce certyfikaty KSeF będą obsługiwane bezpośrednio w systemach finansowo-księgowych. Oprogramowanie Comarch w zakresie KSeF już dziś umożliwia integrację z API KSeF 2.0, dzięki czemu użytkownicy będą mogli zarządzać dostępem i autoryzacją w KSeF bez konieczności logowania do rządowego portalu.

Inne metody uwierzytelniania w KSeF

Choć certyfikat KSeF ma stać się głównym sposobem logowania, wciąż będzie można korzystać z innych form uwierzytelniania.

Węzeł Krajowy (Login.gov.pl)

Logowanie do KSeF odbywa się przez Węzeł Krajowy, który umożliwia uwierzytelnianie za pomocą: Profilu Zaufanego, aplikacji mObywatel, e-dowodu lub bankowości elektronicznej. Usługa jest całkowicie bezpłatna. Bezpośrednie logowanie przez ePUAP (stosowane w KSeF 1.0) zostało zastąpione logowaniem przez Login.gov.pl.

Kwalifikowany podpis elektroniczny

Płatna forma uwierzytelnienia, uznawana w całej Unii Europejskiej. Od października 2025 r. w ramach usługi mObywatel można skorzystać z 5 darmowych podpisów kwalifikowanych miesięcznie (do 5 MB każdy).

Pieczęć kwalifikowana

Używana głównie przez spółki i instytucje do podpisywania dokumentów w imieniu firmy.

Token

Tokeny działają równolegle z certyfikatami KSeF. Po 31 grudnia 2026 r. zostaną nieodwołalnie wycofane. Zaplanuj przejście na certyfikat KSeF przed końcem roku, aby uniknąć utraty dostępu od 1 stycznia 2027 r.

Każda z tych metod ma zastosowanie w zależności od skali działalności i liczby osób korzystających z systemu. Co ważne, większość wymienionych metod jest obsługiwana w systemach Comarch – zarówno przy pracy online, jak i w trybie offline. Dzięki temu przedsiębiorca może sam zdecydować, który sposób logowania jest dla jego firmy najwygodniejszy.

Certyfikaty KSeF a tokeny – do kiedy obowiązują?

Zgodnie z harmonogramem Ministerstwa Finansów:

do 31 grudnia 2026 r. – dopuszczalne są obie formy uwierzytelniania: certyfikat i tokeny;
od 1 stycznia 2027 r. – tokeny zostaną wycofane, a dostępnymi sposobami autoryzacji pozostaną: certyfikat KSeF, profil zaufany, kwalifikowany podpis elektroniczny i pieczęć kwalifikowana.

Warto wiedzieć, że certyfikaty i tokeny nie są od strony funkcjonalnej równoważne. Token zawiera przypisane w systemie użytkownikowi uprawnienia, które są stwierdzane w chwili jego generowania.

Z kolei głównym założeniem certyfikatów KSeF jest to, że stanowią one wyłącznie środek uwierzytelnienia w systemie – podobnie jak np. podpis kwalifikowany. Oznacza to, że ich zadaniem jest wyłącznie potwierdzenie tożsamości użytkownika lub systemu łączącego się z KSeF. Certyfikaty nie zawierają informacji o uprawnieniach.

Jak uzyskać certyfikat KSeF?

Certyfikaty KSeF są dostępne przez API KSeF 2.0 oraz Aplikację Podatnika KSeF 2.0 (od 1 lutego 2026 r.). Wcześniejszy Moduł Certyfikatów i Uprawnień (MCU), działający od listopada 2025 r. do końca stycznia 2026 r., został wyłączony – uprawnienia i certyfikaty wydane w MCU przeniesiono automatycznie.

Certyfikat jest ważny maksymalnie 2 lata od daty wydania. Po upływie tego terminu należy złożyć nowy wniosek.

Po uzyskaniu certyfikatu warto zintegrować go z systemem ERP. W rozwiązaniach Comarch instalacja i przypisanie certyfikatu do użytkownika odbywa się automatycznie, bez potrzeby ręcznej konfiguracji.

Instrukcja jak uzyskać certyfikat KSeF – krok po kroku

Zaloguj się do KSeF za pomocą: Węzła Krajowego (Login.gov.pl), kwalifikowanego podpisu elektronicznego, kwalifikowanej pieczęci elektronicznej, tokena (ważny do 31 grudnia 2026 r.).

Wejdź w zakładkę „Certyfikaty KSeF”.

Wybierz typ certyfikatu, który chcesz pobrać – uwierzytelniający lub do fakturowania offline.

Złóż wniosek o wydanie certyfikatu. Dane podane w formularzu muszą być zgodne z danymi identyfikującymi użytkownika uwierzytelnionego w KSeF w momencie składania wniosku.

Po poprawnym przetworzeniu dokumentu certyfikat KSeF zostanie wydany i będzie gotowy do pobrania.

Pobierz certyfikat i zapisz go w bezpiecznym miejscu.

Zainstaluj certyfikat w programie księgowym lub systemie finansowym firmy. W oprogramowaniu Comarch instalacja odbywa się automatycznie.

Kto może uzyskać certyfikat KSeF?

Certyfikat KSeF może być wydany:

osobom fizycznym, zgłoszonym w zawiadomieniu ZAW-FA (Zawiadomienie o uprawnieniach do KSeF);
osobom fizycznym mającym uprawnienia właścicielskie;
podatnikom niebędącym osobą fizyczną mającym uprawnienia właścicielskie, posługującym się pieczęcią elektroniczną do uwierzytelnienia w KSeF.

W zależności od tego, komu przypisany jest certyfikat, różni się zakres odpowiedzialności i sposób jego wykorzystania.

Certyfikat KSeF dla osoby fizycznej
Certyfikat wydany na osobę fizyczną zawiera dane identyfikacyjne wnioskującego – imię, nazwisko, NIP (w przypadku jednoosobowych działalności gospodarczych) lub PESEL (jeżeli osoba fizyczna ma uprawnienia do korzystania z KSeF). Uprawnia on do logowania i wystawiania faktur w imieniu własnym lub w ramach działalności gospodarczej.
Certyfikat KSeF zawierający dane osoby fizycznej może być używany tylko przez tę konkretną osobę i nie może być przekazywany innym użytkownikom.
W praktyce oznacza to, że właściciel jednoosobowej działalności może samodzielnie uwierzytelniać się w KSeF i podpisywać faktury ustrukturyzowane swoim certyfikatem.
Certyfikat KSeF dla podmiotu
W przypadku firm, spółek i instytucji możliwe jest wydanie certyfikatu na NIP podmiotu po uwierzytelnieniu się za pomocą pieczęci kwalifikowanej.
Wówczas:
- certyfikat jest przypisany do firmy, a nie do konkretnej osoby;
- podmiot decyduje, kto może z niego korzystać (np. księgowa albo biuro rachunkowe);
- firma odpowiada za bezpieczne przechowywanie, przekazywanie i unieważnianie certyfikatu.
W sytuacji, gdy fakturę wystawi pracownik posługujący się certyfikatem wydanym na NIP spółki, to w KSeF widoczne będą wyłącznie dane spółki, a nie osoby wystawiającej dokument.
Natomiast jeśli spółka wyda osobne certyfikaty swoim pracownikom, to w KSeF widoczne będą dane osoby fizycznej, która wystawiała dokument, działając w imieniu spółki.
W oprogramowaniu Comarch administratorzy mogą w prosty sposób nadawać lub cofać uprawnienia związane z certyfikatami, np. dla pracowników. Rozwiązanie to minimalizuje ryzyko błędów i pozwala na szybkie reagowanie w razie utraty dostępu lub rotacji personelu.

Harmonogram wdrożenia nowego systemu uwierzytelniania

Dla ułatwienia przedstawiamy najważniejsze daty wdrożenia nowego modelu uwierzytelniania w KSeF:

1 listopada 2025 r. – uruchomienie MCU (zrealizowane)
1 lutego 2026 r. – start KSeF 2.0 produkcyjnego; wyłączenie KSeF 1.0 i MCU (zrealizowane)
14 lutego 2026 r. – logowanie do KSeF przez Węzeł Krajowy / Login.gov.pl (zrealizowane)
1 kwietnia 2026 r. – KSeF obowiązkowy dla wszystkich pozostałych przedsiębiorców (zrealizowane)
31 grudnia 2026 r. – ostatni dzień ważności tokenów
1 stycznia 2027 r. – certyfikat KSeF jako jedyna metoda uwierzytelniania systemowego; wejście w życie pełnych sankcji administracyjnych

Podsumowanie

Wprowadzenie certyfikatów KSeF to krok w stronę większego bezpieczeństwa i standaryzacji w obrocie fakturami elektronicznymi. Dzięki nowemu systemowi przedsiębiorcy zyskają prostsze uwierzytelnienie, możliwość pracy offline i pełną kontrolę nad tym, kto korzysta z systemu w imieniu firmy.

Warto już teraz przygotować się do zmian – złożyć wniosek o certyfikat, sprawdzić zgodność swojego oprogramowania i wysłać zespół na szkolenia KSeF. Wybór systemu z pełną integracją KSeF, takiego jak Comarch ERP, to najprostszy sposób na bezpieczne i bezbłędne przejście na KSeF.

Jak przygotować firmę do uwierzytelniania w KSeF?: Zacznij od złożenia wniosku o certyfikat KSeF i sprawdzenia, czy Twój system finansowo-księgowy umożliwia jego instalację i obsługę. W rozwiązaniach Comarch certyfikat można zintegrować z kontem użytkownika bezpośrednio w systemie, dzięki czemu proces uwierzytelnienia odbywa się automatycznie.
Jak pobrać certyfikat KSeF?: Najpierw należy zalogować się do KSeF profilem zaufanym, tokenem lub podpisem kwalifikowanym. Następnie trzeba złożyć wniosek w zakładce „Certyfikaty KSeF”. Po jego przetworzeniu certyfikat KSeF zostanie wydany i będzie można go pobrać.
Od kiedy certyfikat KSeF będzie obowiązkowy?: Od 2027 roku certyfikaty całkowicie zastąpią tokeny i staną się podstawową formą uwierzytelniania systemowego (API). Będą działać równolegle do innych metod logowania, takich jak profil zaufany czy podpis kwalifikowany.
Jak długo jest ważny certyfikat KSeF?: Certyfikat jest ważny 2 lata od daty wydania lub od daty wskazanej przez podatnika.
Co zrobić, gdy certyfikat KSeF wygaśnie?: Po upływie ważności należy złożyć wniosek o wydanie nowego certyfikatu. System automatycznie unieważni poprzedni dokument.